Microsoft 云中的加密

  • 项目

Microsoft 企业云服务中的客户数据受到多种技术和流程的保护,包括各种加密形式。 本文档中的 (客户数据包括Exchange Online邮箱内容、电子邮件正文、日历条目和电子邮件附件内容,如果适用,Skype for Business内容、SharePoint Online 网站内容和存储在网站中的文件,以及上传到OneDrive for Business或Skype for Business.) Microsoft 在其产品和服务中使用多种加密方法、协议和密码,以帮助为通过云服务传输的客户数据提供安全路径,并帮助保护存储在云服务中的客户数据的机密性。 Microsoft 使用一些最强大、最安全的加密协议来阻止未经授权访问客户数据。 适当的密钥管理也是加密最佳做法的一个基本要素,Microsoft 努力确保所有 Microsoft 管理的加密密钥都得到适当保护。

Microsoft 企业云服务中存储的客户数据使用一种或多种加密形式进行保护。 (验证加密策略及其实施情况由多个第三方审核员独立验证,这些审核报告可在 服务信任门户上获取。)

Microsoft 提供服务端技术,可加密静态和传输中的客户数据。 例如,对于静态客户数据,Microsoft Azure 使用 BitLockerDM-Crypt,Microsoft 365 使用 BitLocker、 Azure 存储服务加密分布式密钥管理器 (DKM) 和 Microsoft 365 服务加密。 对于传输中的客户数据,Azure、Office 365、Microsoft 商业支持、Microsoft Dynamics 365、Microsoft Power BI 和 Visual Studio Team Services在 Microsoft 数据中心之间和用户之间使用行业标准的安全传输协议,例如 Internet 协议安全性 (IPsec) 和传输层安全性 (TLS) 设备和 Microsoft 数据中心。

除了 Microsoft 提供的加密安全性基线级别外,我们的云服务还包括可以管理的加密选项。 例如,可以为其 Azure 虚拟机 (VM) 与其用户之间的流量启用加密。 借助 Azure 虚拟网络,可以使用行业标准 IPsec 协议来加密企业 VPN 网关与 Azure 之间的流量。 还可以加密虚拟网络上的 VM 之间的流量。 此外,新的 Office 365 邮件加密功能允许向任何人发送加密邮件。

遵循公钥基础结构操作安全标准(Microsoft 安全策略的一个组件),Microsoft 使用 Windows 操作系统中包含的加密功能来获取证书和身份验证机制。 这些机制包括使用符合美国政府 联邦信息处理标准 (FIPS) 140-2 标准的加密模块。 可以使用 加密模块验证计划 CMVP 搜索 Microsoft 的相关 NIST 证书编号。

[注意]若要以资源的形式访问 Microsoft 安全策略,必须使用工作或学校帐户登录。 如果还没有订阅, 可以注册免费试用版

FIPS 140-2 是一种标准,专门用于验证实现加密的产品模块,而不是使用加密的产品。 在服务中实现的加密模块可以认证为满足哈希强度、密钥管理等要求。 用于保护 Microsoft 云服务中数据的机密性、完整性或可用性的加密模块和密码符合 FIPS 140-2 标准。

Microsoft 使用每个新版本的 Windows 操作系统来认证云服务中使用的基础加密模块:

  • Azure 和 Azure 美国政府
  • Dynamics 365 和 Dynamics 365 美国政府
  • Office 365、Office 365 美国政府版和 Office 365 美国政府国防部版

静态客户数据加密由多种服务端技术提供,包括 BitLocker、DKM、Azure 存储服务加密以及 Exchange Online、Skype for Business、OneDrive for Business 和 SharePoint Online 中的服务加密。 Office 365服务加密包括使用 Azure 密钥保管库中存储的客户管理的加密密钥的选项。 此客户管理的密钥选项称为“客户密钥”,可用于Exchange Online、SharePoint Online、Skype for Business和OneDrive for Business。

对于传输中的客户数据,默认情况下,所有Office 365服务器都使用 TLS 与客户端计算机协商安全会话,以保护客户数据。 例如,Office 365将协商Skype for Business、Outlook 和Outlook 网页版、移动客户端和 Web 浏览器的安全会话。

(默认情况下,所有面向客户的服务器协商到 TLS 1.2。)

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。